OAuth 2.0 - Resource Owner Password Credentials (ROPC)

前言

在一些比較舊或是獨立的系統,常常會使用到 Resource Owner Password Credentials (ROPC) 的方式來取得 access token。
就是使用者在 Client Application 功能輸入帳/密後,再由 Client Application 將使用者的帳/密 Post 到 Authorization Server 來取回 access token。
這樣帳/密不就被 Client Application 取得了嗎!!!

more >>

OAuth 2.0 - Proof Key for Code Exchange (PKCE)

前言

在 Native applications 因為是安裝在個人的設備上面,例如 手機,個人電腦。
這些 Native applications 通常會跟作業系統註冊 App-Claimed https URL (https://app.exp.com 會開啟該 application) 或是使用 Custom URL Scheme(myapp://callback#token=…)。
因為OAuth 2.0 - Implicit Flow可以用在 public client,
因為 Implicit Flow 比較不安全,所以現在大多改使用 PKCE,它是擴充自 Authorization Code Flow 。
OAuth 2.0 - Authorization Code Flow 在取得 Token 時,需要將 client_secret 一併傳出來取得 access token ,如果是 public client 就有可能會被知道 client_secret 的值,所以 PKCE 就是動態建立 Code Verifier 來取代 client_secret。
以下使用OAuth 2.0 Playground - pkce來演示。

more >>

OAuth 2.0 - Authorization Code Flow

前言

OAuth是”Open Authorization”,它讓使用者在授權伺服器上,同意 Client App 代表使用者去存取資源。
使用者會在授權伺服器上驗證帳密,將 Access Token 交給 Client App,所以 Client App 並不會拿到 使用者的帳密。
OAuth2
以上圖來說,當使用者使用 Web App 需要輸入帳密時,應該是網頁轉到 Security Token Service(Authorization Server) 輸入使用者的帳密,而 Web App 從 Token Service 取得 Token 去存取 API。

more >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw